インテリジェント アプリケーション バイパス(IAB)
次の各トピックでは、インテリジェント アプリケーション バイパス の使用に向けてアクセス コントロール ポリシーを設定する方法を説明します。
IAB の概要
インテリジェント アプリケーション バイパス (IAB)では、パフォーマンスおよびフローのしきい値を超過した場合に、信頼できるものとしてさらなるインスペクションなしでネットワークを通過させるアプリケーションを指定します。たとえば、毎晩のバックアップがシステム パフォーマンスに大きく影響する場合、しきい値を超えてもバックアップ アプリケーションが生成したトラフィックを信頼するように設定できます。オプションで、インスペクション パフォーマンスしきい値を超過したときに、IAB が、いずれかのフロー バイパスしきい値を超えるすべてのトラフィックをアプリケーションのタイプに関係なく信頼するように IAB を設定できます。
IAB は、アクセス コントロール ルールまたはアクセス コントロール ポリシーのデフォルト アクションによって許可されるトラフィックに対し、トラフィックが詳細なインスペクションの対象となる前に実行されます。テスト モードでは、しきい値を超過しているかどうか判断することと、しきい値を超過している場合、IAB を実際に有効化している状態( バイパス モード といいます)であればバイパスされたであろうアプリケーション フローを特定することが可能です。
次の図は、IAB の決定プロセスを示します。
IAB オプション
状態(State)
IAB を有効または無効にします。
パフォーマンス サンプル インターバル(Performance Sample Interval)
IAB パフォーマンス サンプリング スキャンの間隔を秒で指定します。この間隔で、システムは、IAB パフォーマンスしきい値と比較するためのシステム パフォーマンス測定値を収集します。値を 0 にすると、IAB は無効になります。
バイパス可能なアプリケーションとフィルタ(Bypassable Applications and Filters)
この機能には、相互に排他的な、次の 2 つのオプションがあります。
アプリケーション/フィルタ(Applications/Filters)
バイパス可能なアプリケーションおよびアプリケーションのセット(フィルタ)を指定できるエディタを提供します。指定の方法は、アクセス コントロール ルールでアプリケーション条件を指定するときとほぼ同じです。詳細については、アプリケーション トラフィックの制御を参照してください。
未確認アプリケーションを含むすべてのアプリケーション(All applications including unidentified application)
インスペクション パフォーマンスしきい値を超過すると、アプリケーションのタイプに関係なく、いずれかのフロー バイパスしきい値を超過するすべてのトラフィックを信頼します。
検査パフォーマンスしきい値(Inspection Performance Thresholds)
インスペクション パフォーマンスしきい値は、侵入インスペクションのパフォーマンスの限界を定めるもので、この限界を超えると、フローしきい値のインスペクションがトリガーされます。IAB では、0 に設定された インスペクション パフォーマンスしきい値は使用しません。
(注) インスペクション パフォーマンスしきい値とフロー バイパスしきい値は、デフォルトでは無効化されています。IAB がトラフィックを信頼するには、少なくともいずれか 1 つを有効化し、いずれか 1 つを超過している必要があります。インスペクション パフォーマンスしきい値またはフロー バイパスしきい値を複数有効にした場合、IAB がトラフィックを信頼するには、いずれか 1 つのみを超過する必要があります。
ドロップ率(Drop Percentage)
高価な侵入ルール、ファイル ポリシー、圧縮解除などによるパフォーマンスのオーバーロードのためにパケットがドロップされたときの、パケット全体に対する割合としてドロップされた平均パケット数。これは、侵入ルールなどの通常の設定によってドロップされたパケットを参照するものではありません。1 より大きい整数を指定すると、指定されたパーセンテージのパケットがドロップされたときに IAB がアクティブ化することに注意が必要です。1 を指定すると、0 ~ 1 までのパーセンテージによって IAB がアクティブ化します。これにより、少ないパケット数で IAB がアクティブ化します。
プロセッサ使用率(Processor Utilization Percentage)
使用されたプロセッサ リソースの平均比率。
パッケージ遅延(Package Latency)
マイクロ秒単位の平均パケット遅延。
フロー レート(Flow Rate)
1 秒あたりのフロー数で測定される、システムによるフロー処理率。このオプションでは、IAB は、フローを 件数 ではなく レート で測定するように設定されることに注意が必要です。
フロー バイパスしきい値(Flow Bypass Thresholds)
フロー バイパスしきい値はフローの限界を定めるもので、この限界を超えると、IAB は、バイパス モードではバイパス可能なアプリケーションを信頼し、テスト モードでは、アプリケーション トラフィックを許可してさらなるインスペクションの対象にします。IAB では、0 に設定された フロー バイパスしきい値は使用しません。
(注) インスペクション パフォーマンスしきい値とフロー バイパスしきい値は、デフォルトでは無効化されています。IAB がトラフィックを信頼するには、少なくともいずれか 1 つを有効化し、いずれか 1 つを超過している必要があります。インスペクション パフォーマンスしきい値またはフロー バイパスしきい値を複数有効にした場合、IAB がトラフィックを信頼するには、いずれか 1 つのみを超過する必要があります。
フローあたりのバイト数
フローに含めることができる最大キロバイト数。
フローあたりのパケット数(Packets per Flow)
フローに含めることができる最大パケット数。
フロー継続時間(Flow Duration)
フローを開いたままにできる最大秒数。
フロー速度(Flow Velocity)
最大転送速度(KB/秒)。
IAB の設定
注意
IAB はすべての導入に必要なわけではなく、必要である場合も、限定的に使用されることがあります。ネットワーク トラフィック、特にアプリケーション トラフィックと、予測可能なパフォーマンスの問題の原因を含むシステム パフォーマンスの専門知識がない場合は、IAB を有効にしないでください。IAB をバイパス モードで実行する場合は、指定したトラフィックを信頼することでリスクが生じないことを事前に確認してください。
しきい値を超過する場合に、信頼できるものとしてネットワークを通過させるアプリケーションを指定する方法:
手順 1 アクセス コントロール ポリシー エディタで [詳細設定(Advanced)] タブをクリックし、次に、[インテリジェント アプリケーション バイパス設定(Intelligent Application Bypass Settings)] の隣にある編集アイコン( )をクリックします。
代わりにビュー アイコン( )が表示される場合、設定は先祖ポリシーから継承され、設定を変更する権限がありません。設定がロック解除されている場合は、[ベース ポリシーから継承する(Inherit from base policy)] をオフにして、編集を有効にします。
手順 2 IAB の各オプションを設定します。
- [状態(State)]:IAB を [オフ(Off)] または [オン(On)]、あるいは [テスト(Test)] モードで有効にします。
- [パフォーマンス サンプル間隔(Performance Sample Interval)]:IAB のパフォーマンス サンプリング スキャン間の時間を秒単位で入力します。IAB を有効にする場合は、テスト モードであっても、0 以外の値を入力します。0 を入力すると、IAB が無効化されます。
- バイパス可能なアプリケーションとフィルタ(Bypassable Applications and Filters):次のいずれかを実行します。
– バイパスするアプリケーションとフィルタの数をクリックし、トラフィックをバイパスするアプリケーションを指定します。これは、アクセス コントロール ルールでアプリケーション条件を指定するときとほぼ同じ方法です。詳細については、アプリケーション トラフィックの制御を参照してください。
– [未確認アプリケーションを含むすべてのアプリケーション(All applications including unidentified applications)] をクリックし、インスペクション パフォーマンスしきい値を超過したときに、IAB が、いずれかのフロー バイパスしきい値を超えるすべてのトラフィックをアプリケーションのタイプに関係なく信頼するように設定します。
- [インスぺクション パフォーマンスしきい値(Inspection Performance Thresholds)]:[設定(Configure)] をクリックし、1 つ以上のしきい値を入力します。
- [フロー バイパスしきい値(Flow Bypass Thresholds)]:[設定(Configure)] をクリックし、1 つ以上のしきい値を入力します。
少なくとも 1 つのインスぺクション パフォーマンスしきい値と 1 つのフロー バイパスしきい値を指定する必要があります。IAB がトラフィックを信頼するには、両方を超過する必要があります。各タイプのしきい値を複数入力した場合は、各タイプの 1 つのみを超過する必要があります。詳細については、IAB オプションを参照してください。
手順 3 [OK] をクリックして IAB 設定を保存します。
手順 4 [保存(Save)] をクリックして、ポリシーを保存します。
次の作業
IAB のロギングと分析
IAB は、接続終了イベントを強制的に生成します。それにより、接続のロギングを有効化しているかどうかに関係なく、バイパスされたフローおよびバイパスされたであろうフローがログに記録されます。接続イベントは、バイパス モードでバイパスされたフロー、またはテスト モードでバイパスされることが予想されるフローを示します。接続イベントに基づいたカスタムのダッシュボード ウィジェットやレポートでは、バイパスされたフローおよびバイパスされることが予想されるフローの長期的な統計情報を表示できます。
IAB の接続イベント
アクション(Action)
[理由(Reason)] に「 Intelligent App Bypass
」が含まれる場合、次のいずれかです。
Allow :適用されている IAB 設定がテスト モードであり、[アプリケーション プロトコル(Application Protocol)] によって指定されたアプリケーションのトラフィックはインスペクション可能な状態のままであることを示します。
Trust :適用されている IAB 設定がバイパス モードであり、[アプリケーション プロトコル(Application Protocol)] によって指定されたアプリケーションのトラフィックが信頼され、さらなるインスペクションなしでネットワークを通過したことを示します。
理由(Reason)
[インテリジェント アプリケーション バイパス(Intelligent App Bypass)] は、IAB がバイパス モードまたはテスト モードでイベントをトリガーしたことを示します。
アプリケーション プロトコル(Application Protocol)
このフィールドには、イベントをトリガーしたアプリケーション プロトコルが表示されます。
例
次の省略された図では、一部のフィールドが省かれています。図は、2 つの別個のアクセス コントロール ポリシーの異なる IAB 設定から生成された 2 つの接続イベントの [アクション(Action)]、[理由(Reason)]、および [アプリケーション プロトコル(Application Protocol)] フィールドを示しています。
最初のイベントの場合、[信頼する(Trust)] アクションは、IAB がバイパス モードで有効にされており、Bonjour プロトコル トラフィックが信頼されているため、それ以上インスペクションが行われずに受け渡されることを示します。
2 番目のイベントの場合、[許可(Allow)] アクションは、IAB がテスト モードで有効にされているため、Ubuntu Update Manager トラフィックはさらにインスペクションが行われる必要がありますが、IAB がバイパス モードであればバイパスされることが予想されることを示します。
例
次の省略された図では、一部のフィールドが省かれています。2 番目のイベントのフローは両方とも([アクション(Action)]:[信頼する(Trust)]、[理由(Reason)]:[インテリジェント アプリケーション バイパス(Intelligent App Bypass)])をバイパスし、侵入ルール([理由(Reason)]:[侵入モニタ(Intrusion Monitor)])によって検査されました。[侵入モニタ(Intrusion Monitor)] の理由は、[イベントの生成(Generate Events)] に設定された侵入ルールが検出されたが、接続時にエクスプロイトをブロックしなかったことを示しています。この例では、これはアプリケーションが検出される前に発生しました。アプリケーションが検出された後、IAB は、アプリケーションがバイパス可能であると認識し、フローを信頼しました。
IAB のカスタム ダッシュボード ウィジェット
接続イベントに基づいて長期的な IAB の統計情報を表示するカスタム分析ダッシュボード ウィジェットを作成できます。ウィジェットを作成する際には、次の項目を指定します。
- プリセット(Preset):なし(None)
- テーブル(Table):
Application Statistics
- フィールド(Field):
any
- 集計(Aggregate):次のいずれか
– IAB が接続をバイパスした(IAB Bypassed Connections)
– IAB Would Bypass Connections
例
次のカスタム分析ダッシュボード ウィジェットの例では、次のようになっています。
- 「 Bypassed 」の例は、アプリケーションがバイパス可能として指定され、IAB が展開済みのアクセス コントロール ポリシーにおいてバイパス モードで有効になっているためにバイパスされたアプリケーション トラフィックの統計を示しています。
- Would Have Bypassed の例では、アプリケーションがバイパス可能と指定されており、展開されているアクセス コントロール ポリシーでは IAB がテスト モードで有効にされているため、バイパスされたであろうアプリケーション トラフィックの統計情報が表示されています。
IAB カスタム レポート
接続イベントに基づいて長期的な IAB の統計情報を表示するカスタム レポートを作成できます。レポートを作成する際には、次の項目を指定します。
- テーブル(Table): アプリケーションの統計(Application Statistics)
- プリセット(Preset) :
None
- フィルタ(Filter) :
any
- X 軸(X-Axis) :
any
- Y 軸(Y-Axis) :次のいずれか
– IAB が接続をバイパスした(IAB Bypassed Connections)
– IAB が接続をバイパスすることが予想された(IAB Would Bypass Connections)
例
次の図は、2 つのレポートの例の抜粋を示します。
- Bypassed の例では、アプリケーションがバイパス可能と指定されており、展開されているアクセス コントロール ポリシーでは IAB がバイパス モードで有効にされているため、バイパスされたアプリケーション トラフィックの統計情報が表示されています。 Would Have Bypassed の例では、アプリケーションがバイパス可能と指定されており、展開されているアクセス コントロール ポリシーでは IAB がテスト モードで有効にされているため、バイパスされたであろうアプリケーション トラフィックの統計情報が表示されています。